Un adversaire Russa-nexus a été lié à 94 nouveaux domaines, ce qui suggère que le groupe modifie activement son infrastructure en réponse aux divulgations publiques de ses activités.
La société de cybersécurité Recorded Future a lié la nouvelle infrastructure à un acteur menaçant qu’elle suit sous le nom BlueCharlie, une équipe de piratage connue sous les noms de Blue Callisto, Callisto (ou Calisto), COLDRIVER, Star Blizzard (anciennement SEABORGIUM) et TA446. BlueCharlie avait précédemment reçu la désignation temporaire de groupe d’activités de menace 53 (TAG-53).
« Ces changements démontrent que ces acteurs de la menace sont conscients des rapports de l’industrie et montrent un certain niveau de sophistication dans leurs efforts pour obscurcir ou modifier leur activité, visant à contrecarrer les chercheurs en sécurité », a déclaré la société dans un nouveau rapport technique partagé avec The Hacker News. .
BlueCharlie est évalué comme étant affilié au Service fédéral de sécurité (FSB) de Russie, l’acteur menaçant étant lié à des campagnes de phishing visant le vol d’informations d’identification en utilisant des domaines qui se font passer pour les pages de connexion d’entreprises du secteur privé, de laboratoires de recherche nucléaire et d’ONG impliquées. dans l’aide d’urgence en Ukraine. On dit qu’il est actif depuis au moins 2017.
« Les activités de collecte de Calisto contribuent probablement aux efforts russes pour perturber la chaîne d’approvisionnement de Kiev pour les renforts militaires », a noté Sekoia plus tôt cette année. « De plus, la collecte de renseignements russes sur les preuves identifiées liées aux crimes de guerre est probablement menée pour anticiper et construire un contre-récit sur les futures accusations. »
Un autre rapport publié par NISOS en janvier 2023 a identifié des liens potentiels entre l’infrastructure d’attaque du groupe et une entreprise russe qui passe des contrats avec des entités gouvernementales dans le pays.
« BlueCharlie a mené des campagnes persistantes de phishing et de vol d’informations d’identification qui permettent davantage d’intrusions et de vols de données », a déclaré Recorded Future, ajoutant que l’acteur effectuait une reconnaissance approfondie pour augmenter la probabilité de succès de ses attaques.
Les dernières découvertes révèlent que BlueCharlie est passé à un nouveau modèle de dénomination pour ses domaines contenant des mots-clés liés aux technologies de l’information et à la crypto-monnaie, tels que cloudrootstorage[.]com, passerelle directexpress[.]com, stockagecryptogate[.]com et pdfsecxcloudroute[.]com.
Soixante-dix-huit des 94 nouveaux domaines auraient été enregistrés avec NameCheap. Certains des autres registraires de domaine utilisés incluent Porkbun et Regway.
Pour atténuer les menaces posées par les groupes de menaces persistantes avancées (APT) parrainés par l’État, il est recommandé aux organisations de mettre en œuvre une authentification multifacteur (MFA) résistante au phishing, de désactiver les macros par défaut dans Microsoft Office et d’appliquer une politique de réinitialisation fréquente des mots de passe.
« Alors que le groupe utilise des techniques relativement courantes pour mener des attaques (telles que l’utilisation du phishing et une dépendance historique aux outils de sécurité offensifs open source), son utilisation continue probable de ces méthodes, sa posture déterminée et l’évolution progressive des tactiques suggèrent que le groupe reste formidable et capable », a déclaré la société.
